В ITSumma разработали собственный сервер аутентификации — Isolate
Isolate позволяет управлять доступом к серверам — хранит и обновляет пароли, обеспечивая при этом безопасность (сотрудники получают доступы, не зная паролей). Исходный код проекта выложен в открытом доступе на Github.
Isolate позволяет управлять доступом к серверам — хранит и обновляет пароли, обеспечивая при этом безопасность (сотрудники получают доступы, не зная паролей). Исходный код проекта выложен в открытом доступе на Github.
Евгений Потапов, генеральный директор ITSumma: «У нас 300 клиентов — это почти 2000 серверов на обслуживании. Для доступа к каждому серверу нужен пароль (и логин). Нас 60 человек, и это количество периодически меняется, люди уходят и приходят. Как хранить, обновлять и управлять базой из 2000 паролей для 60 человек? Как управлять доступом к самой базе? Как объяснять клиенту, что пароли к его серверам будут одновременно знать 60 человек? В качестве ответа на все эти вопросы мы сделали Isolate».
Администраторам не надо запоминать пароли к серверам клиентов. Нужен только один пароль, к Isolate. При этом для доступа к самому Isolate используется двухфакторная аутентификация: обычный символьный пароль и OTP (one-time password). В качестве OTP используются usb-ключи UbiKey. У менеджеров, при этом, есть централизованное управление доступами к серверам клиентов и к самому серверу аутентификации
В ближайшие планы по развитию Isolate входят:
- версия с поддержкой прокси (SSH) — проходит последние тестирования;
- стабильные системные средства защиты;
- автокомплит, Zsh и централизованное логирование (ELK);
- учет времени, проведенного на сервере клиента;
- интеграция с SELInux и более плотная интеграция с Zabbix.
Подробнее про Isolate на сайте isolate.itsumma.com, проект на Github — github.com/itsumma/isolate.